AIUTOOO! Haker! (RISOLTO)

[Indaco]

Oggi apro il mio sito www.corpononlineare.it e trovo tutt'altro!
Qualcuno mi può aiutare? Grazie

[Indaco]

e non riesco neanche ad entrare nel pannello di controllo di amministrazione!

[56francesco]

Ciao,
per prima cosa, ricordi che versione di joomla hai?
completa per favore, es. 1.5.4 oppure 1.5.3 ...

[Indaco]

ciao 1.5.3

[kirkende]

Non sono un guru ma seguendo queste due guide dovresti risolvere, in seguito ricordati di aggiornare sempre all'ultima versione di joomla, modifica il nome di admin (ad esempio adminABC)e sopratutto backup!

1> ripristina la password di admin
http://wiki.joomla.it/index.php?title=Recupero_password_admin

2> se non l'hai ancora fatto esegui un backup

3> aggiorna all'ultima versione
http://www.joomla.it/notizie/704-attenzione-nuova-versione-di-joomla-156-risolve-falla-di-sicurezza.html

[kirkende]

oops, ho sovrapposto la mia risposta a quella di 56francesco

[56francesco]

ciao 1.5.3

prima di qualunque altra operazione,
entra in ftp  e osserva cosa c'è di strano nelle cartelle, guarda bene nella cartella dei template..

[Indaco]

ok grazie.
dunque sono riuscito ad entrare nel pannello sbloccando la pass ma tutti i comandi mi danno questa roba:


Warning: ereg() [function.ereg]: REG_EBRACK in /web/htdocs/www.corpononlineare.it/home/administrator/templates/khepri/index.php on line 1138

Warning: ereg() [function.ereg]: REG_EBRACK in /web/htdocs/www.corpononlineare.it/home/administrator/templates/khepri/index.php on line 1138

Warning: htmlentities() [function.htmlentities]: charset `ANSI_X3.4-1968' not supported, assuming iso-8859-1 in /web/htdocs/www.corpononlineare.it/home/administrator/templates/khepri/index.php on line 1589
webadmin.php

Warning: htmlentities() [function.htmlentities]: charset `ANSI_X3.4-1968' not supported, assuming iso-8859-1 in /web/htdocs/www.corpononlineare.it/home/administrator/templates/khepri/index.php on line 1589

Warning: htmlentities() [function.htmlentities]: charset `ANSI_X3.4-1968' not supported, assuming iso-8859-1 in /web/htdocs/www.corpononlineare.it/home/administrator/templates/khepri/index.php on line 1589

Warning: array_key_exists() [function.array-key-exists]: The second argument should be either an array or an object in /web/htdocs/www.corpononlineare.it/home/administrator/templates/khepri/index.php on line 1320

Warning: array_key_exists() [function.array-key-exists]: The second argument should be either an array or an object in /web/htdocs/www.corpononlineare.it/home/administrator/templates/khepri/index.php on line 1326

Warning: htmlentities() [function.htmlentities]: charset `ANSI_X3.4-1968' not supported, assuming iso-8859-1 in /web/htdocs/www.corpononlineare.it/home/administrator/templates/khepri/index.php on line 1589

Warning: htmlentities() [function.htmlentities]: charset `ANSI_X3.4-1968' not supported, assuming iso-8859-1 in /web/htdocs/www.corpononlineare.it/home/administrator/templates/khepri/index.php on line 1589
:

[sali40]

quindi, verosimilmente, l'index del template di amministrazione ha subito una intrusione.

Se il danno è limitato a quello, prova (dopo aver fatto alcuni backup anche del database) a sovrascrivere, prima di tutto con i file originali della tua vesione. Dovrebbe già cominciare a funzionare.

Dopo di che, aggiorna di gran carriera

[Indaco]

Ha funzionato !!!!!!!!!
grazie ragazzi!

[sali40]

mettersti un "RISOLTO" nell'oggetto del primo post?

[sali40]

dimenticavo una cosa fondamentale:
chiedi al tuo host che vengano modificati utente e password ftp

[Indaco]

ops.....il sito è ok, l'index c'è, ma il pannello di amministrazione mi da ancora quel risultato. Procedo con back up e aggiornamento e vediamo....

[sali40]

non solo aggiornamento.

Hai componenti o estensioni varie installate? Se non le hai, la cosa più corretta è svuotare lo spazio web, eliminare tutto e caricare un pacchetto pulito

Se hai estnsioni installate, dovresti accertarti che:
a) non ci sono file che non dovrebbero esserci;
b) che anche i file "ordinari" non contengano pezzi che non dovrebbero esserci

c) ... ma un backup precedente all'attacco, non lo hai?

Se lo avessi, svuota tutto lo spazio web e carica il backup

[Indaco]

no purtroppo non avevo fatto nessun back up

estensioni mi pare la gallery (phoca)
e il Phoca Guestbook

cancello tutto?

[Indaco]

ok comunque ora tutto torna...grazie....RISOLTO (spero  )

[kirkende]

dimenticavo una cosa fondamentale:
chiedi al tuo host che vengano modificati utente e password ftp

Ho avuto due siti joomla hackerati, ma dovo averli ripristinati ho modificato solo utente e password di accesso al pannello di controllo, non ho pensato di modificare anche i dati di accesso ftp. Puoi spiegarmi perché e' necessario? Grazie, k

[sali40]

perché non è impossibile che si possa esser everificata una intrusione via ftp (che non è che sia il protocollo di trasferimento più sicuro, in fondo )

In quel caso, se, ad esempio utente e password sono state "sniffate", le possibilità di ritrovarti il sito bucato nuovamente sono abastanza alte. Quindi, a meno che il tuo host sia nelle condizioni di escludere tale evenienza, la modifica dei dati di accesso ftp è consigliabile